这家汽车制造商在 24 小时内修补了黑客攻击，但情况仍然令人不安

作者 Stephen Rivers

• 研究人员去年年底在斯巴鲁的 Starlink 系统中发现了一个严重的安全漏洞。
• 它支持对私人数据的完全访问，包括位置、紧急联系人、通话记录等。
• 斯巴鲁在 24 小时内修补了该漏洞，但更广泛的隐私问题尚未解决。

联网汽车存储的数据如此之多，以至于它们就像滚动监控设备一样。现在，研究人员公开了一个新的安全漏洞，该漏洞使他们能够通过斯巴鲁的 Starlink 技术访问敏感数据。虽然斯巴鲁及时解决了这个问题，但该事件引发了令人不安的问题，即在联网汽车时代，您的私人数据到底有多私密。

更多：大众汽车大规模数据泄露暴露了 800,000 名电动汽车车主从住宅到妓院的移动

您可能还记得过去的车辆黑客攻击的安全研究员 Sam Curry 和他的团队于 2024 年 11 月在测试他母亲前一年为她购买的 2023 年斯巴鲁翼豹时发现了该漏洞。该漏洞使他们能够访问车辆的完整位置历史记录 - 不仅仅是一瞬间，而是一整年。

库里在接受《连线》采访时说，这些信息非常详细，以至于库里可以确定她的医生就诊时间、她朋友的家，甚至她每次去教堂时使用的确切停车位。

“你可以检索到这辆车至少一年的位置历史记录，在那里它被精确地 ping ，有时一天多次，”库里告诉该出版物。“无论有人欺骗他们的妻子还是堕胎，或者是某个政治团体的一员，都有一百万种情况你可以将其作为武器来对付某人。”

但情况变得更糟——更糟。

Curry 和研究员 Shubham Shah 表示，他们在为公司员工设计的 Subaru 网站中发现了弱点，这使他们能够接管员工的帐户。这使他们能够控制车辆的 Starlink 功能并访问大量个人详细信息，包括客户的姓名、紧急联系人、家庭住址，甚至车辆的 PIN。他们并没有就此止步，因为他们还可以远程解锁汽车、启动汽车并浏览其通话记录。是的，就是这么糟糕。

一个足够大的安全漏洞，可以开车通过

黑客不需要超级计算机或科幻小工具来做到这一点。他们只需要受害者的姓氏以及汽车的车牌、车主的邮政编码、电话号码或电子邮件地址。黑客会将这些信息放入一个专为斯巴鲁员工设计的网站中，以帮助 Starlink 用户。他们通过一系列基于理论化并随后确认的网站本身安全漏洞的行动获得了对该网站的访问权限。

值得称赞的是，这个漏洞已不复存在。最重要的是，汽车制造商在了解情况后不到 24 小时内就解决了问题。黑客表示，他们在 11 月 20 日晚上 11 点 54 分提醒斯巴鲁注意该问题。到 21 日下午 4：00，漏洞被修复，黑客不再有效。

您可以信任谁来处理您的数据？

同时，所有这些都提出了一个更大的问题，即私有数据似乎不再是私有的。正如 Sam Curry 在他的网站上指出的那样，即使没有不良行为者，很多人仍然可以访问这些数据，即员工。

“汽车行业的独特之处在于，来自德克萨斯州的 18 岁员工可以查询加利福尼亚州车辆的账单信息，而且不会真正敲响任何警钟，”Curry 写道。“这是他们日常工作的一部分。员工都可以访问大量个人信息，而整个过程都依赖于信任。

加州消费者联合会执行董事罗伯特·赫雷尔 （Robert Herrell） 向 Wired 表达了同样的担忧：“似乎斯巴鲁有一群员工掌握了大量可怕的详细信息。人们正在以他们不知道的方式被跟踪。

不仅仅是斯巴鲁，因为这种漏洞和数据访问可能是整个行业的问题。目前，除了在购买互联汽车时完全退出数据收集之外，没有明确的解决方案。当然，这样做会失去一些功能，但让窥探者远离您的业务可能是值得的。

图片来源：山姆·库里

标签 GPS 另类新闻报道 软件 Subaru Tech